DSGVO-konform betreibbar, EU AI Act-bereit, bis zu 100 % EU-Hosting. Adoption-X liefert zwei Ausbaustufen: pragmatisch über EU-Regionen etablierter Hyperscaler oder vollsouverän mit reinem EU-Open-Source-Stack. Beide Varianten setze ich produktiv ein — auch in meinem eigenen operativen Geschäft.
DSGVO (seit 2018): Personenbezogene Daten dürfen die EU nur unter klar definierten rechtlichen Grundlagen verlassen. Beim Einsatz von US-Cloud-KI-Anbietern hängt diese Grundlage an Mechanismen wie dem EU-US Data Privacy Framework oder Standardvertragsklauseln — sie muss im Einzelfall geprüft und dokumentiert werden. Wer ohne saubere Transfergrundlage in US-Regionen verarbeitet, riskiert Bußgelder.
Schrems II & US-Zugriffsgesetze: Der EuGH kippte 2020 das Privacy Shield. Seit Juli 2023 gilt mit dem EU-US Data Privacy Framework ein Nachfolger — 2025 erstinstanzlich bestätigt, das Rechtsmittel liegt bereits beim EuGH. Die Geschichte lehrt: Solche Abkommen können wieder fallen. Unabhängig davon erlauben CLOUD Act und FISA 702 US-Behörden den Zugriff auf Daten, die ein US-kontrollierter Konzern verwaltet — auch in EU-Rechenzentren. Wer diese Abhängigkeit architektonisch vermeidet, ist von der nächsten Wendung nicht betroffen.
EU AI Act (2024–2027): Seit 02.08.2025 gelten die Pflichten für allgemeine KI-Modelle und Governance, ab 02.08.2026 greift die Verordnung in voller Breite — für Hochrisiko-Anwendungen heißt das Risikomanagement, menschliche Aufsicht und eine dokumentierte Test- und Audit-Historie. Die Mitgliedstaaten richten bis 08/2026 KI-Reallabore (Sandboxes) ein, in denen sich Anwendungen rechtssicher erproben lassen. Wer jetzt anfängt, baut diese Nachweise im laufenden Betrieb auf — wer wartet, muss sie nachträglich rekonstruieren.
Für mittelständische Unternehmen bedeutet das: KI darf nicht mehr "irgendwie nebenbei" eingeführt werden. Sie braucht einen Stack, der diese drei Regulierungen in einer einzigen Architektur abbildet — bevor das Sales-Versprechen "DSGVO-konform" zur leeren Worthülse wird.
DSGVO-Konformität ist kein binärer Schalter, sondern ein Spektrum. Je nach Branche, Risikoprofil und vorhandener IT-Landschaft empfehle ich entweder den pragmatischen Stack (EU-Regionen etablierter Hyperscaler) oder den vollsouveränen Stack (100 % EU, keinerlei US-Berührung). Beide Varianten setze ich produktiv ein — auch in meinem eigenen operativen Geschäft.
Microsoft 365, Entra ID, Azure OpenAI EU, Claude via AWS Bedrock EU, Mistral, n8n Self-Hosted. DSGVO-konform betreibbar über EU-Verarbeitungsregionen — schnell einführbar, hohe Funktionsbreite, Microsoft-Ökosystem inklusive. Für die meisten Mittelständler die richtige erste Stufe.
In Klartext: Sie behalten Ihre vertraute Microsoft-Welt. Alle KI-Verarbeitung läuft in Rechenzentren in Deutschland, Schweden oder Irland — so ausgelegt, dass kein Datensatz die EU verlässt.
Open WebUI, Mistral (FR), n8n, Qdrant + PostgreSQL, Hetzner/IONOS, Uptime Kuma, Audit Logging — alle Komponenten Open Source, in der EU gehostet, ohne Vertragsbeziehung zu US-Konzernen. Für Branchen mit erhöhten Souveränitäts-Anforderungen: öffentliche Hand, Verteidigung, kritische Infrastruktur, Health Tech, Legal Tech. Liefere ich auf Wunsch in jedem PoC aus.
In Klartext: Kein einziger Datensatz und kein einziger Vertrag berührt einen US-Konzern. Alle Server stehen in deutschen Rechenzentren, die Modelle laufen auf Mistral aus Frankreich, der Code ist Open Source und auditierbar.
Drei Wege, KI im Unternehmen zu nutzen — mit sehr unterschiedlichen Konsequenzen für Daten, Compliance und Geschwindigkeit.
| Stack 1 — Pragmatisch | Stack 2 — Vollsouverän | ChatGPT Free/Plus direkt | |
|---|---|---|---|
| Verarbeitungsregion | EU (Frankfurt, Sweden Central, West Europe) | EU (Deutschland, Frankreich) | USA-Inferenz (EU-Speicherung nur in Business-Tiers) |
| Vertragspartner | Microsoft Ireland · AWS EMEA (Luxemburg) | Mistral SAS · Hetzner · IONOS | OpenAI Ireland Ltd (US-Konzern) |
| CLOUD-Act-Risiko | Reduziert (EU-Vertragsbeziehung, aber US-Konzern) | Strukturell ausgeschlossen (keine US-Berührung) | Betroffen (US-Konzern, US-Inferenz) |
| DSGVO-Konformität | Konform betreibbar (AVV) | Konform betreibbar (AVV) | Ohne AVV ungeeignet für personenbezogene Daten |
| EU AI Act-Bereitschaft | Ja (Audit-Trail, Sandbox) | Ja (Audit-Trail, Sandbox) | Eingeschränkt |
| Funktionsbreite | Sehr hoch (Microsoft-Ökosystem) | Mittel (Open-Source-Stack) | Sehr hoch (US-Cloud-Ökosystem) |
| Einführungszeit | Schnell (vorhandene Lizenzen) | Mittel (eigener Betrieb) | Sofort, aber compliance-riskant |
| Geeignet für | Die meisten Mittelständler | Öffentliche Hand, Verteidigung, Health Tech, Legal Tech | Privatnutzung, nicht-personenbezogene Daten |
Stand: Juni 2026. Technische Einschätzung aus Architektursicht — keine Rechtsberatung. Die rechtliche Bewertung des Einzelfalls obliegt Ihrem Datenschutzbeauftragten bzw. Rechtsbeistand.
Microsoft 365 mit EU Data Boundary als Frontend für alle Endanwender. E-Mails, Dokumente, Teams-Chats, Excel — die Arbeitsumgebung bleibt, was Ihre Mitarbeitenden ohnehin nutzen. KI-Funktionen (Chatbots, Assistenten, E-Mail-Automatisierung) docken hier transparent an, mit klarer Hinweispflicht laut EU AI Act.
Microsoft Entra ID (ehemals Azure AD) mit EU Data Boundary plus Conditional Access und Multi-Faktor-Authentifizierung. Jeder Zugriff auf Daten, jede Verbindung zwischen Diensten ist authentifiziert, autorisiert und auditierbar. Grundlage für jede DSGVO-konforme Zugriffslogik.
n8n als Self-Hosted-Variante in Azure EU (Germany West Central / Frankfurt). Die Orchestrierungs-Engine, die Eingangsmails klassifiziert, Auftragsdaten extrahiert, KI-Modelle aufruft und Ergebnisse in ERP-Systeme zurückschreibt. Kein Zapier, kein Make.com — volle Datenhoheit, vollständig auditierbar.
Anthropic Claude über AWS Bedrock EU in Frankfurt — Vertragspartner AWS EMEA (Luxemburg), Verarbeitung in der EU-Region. Alternativ Azure OpenAI Service in Sweden Central oder West Europe — Vertragsbeziehung mit Microsoft Ireland. Für besonders sensible Workloads steht Mistral aus Frankreich bereit — EU-Anbieter, EU-Recht, keinerlei US-Berührung.
PostgreSQL mit pgvector-Extension als Self-Hosted-Variante in der EU oder Qdrant Cloud (Frankreich/Deutschland) als Managed Service. Ihre Dokumente, Ihre historischen Aufträge, Ihre interne Wissensbasis — durchsuchbar gemacht, ohne in fremde Hände zu wandern. Keine Pinecone, keine Weaviate Cloud aus US-Region.
S3-kompatibler Object Storage bei IONOS, OVHcloud oder Hetzner für Rohdaten und Archive. SharePoint Online (EU Data Boundary) für strukturierte Dokumente und Berechtigungs-Vererbung. Alle Daten in europäischen Rechenzentren, keine Replikation in US-Regionen.
Azure Monitor und strukturierte Audit-Trails in PostgreSQL bzw. SharePoint. Aufbewahrung standardmäßig 36 Monate — ein eigener Qualitätsstandard, bewusst mehr als gesetzlich gefordert, damit bei späteren EU-AI-Act-Audits die komplette Entscheidungshistorie nachvollziehbar bleibt: welche Eingabe hat welches Modell mit welchem Ergebnis verlassen, und wer hat den Output wann freigegeben.
Ein vollständig getrennter Microsoft-365-Tenant oder eine separate Azure-Subscription als Sandbox. Hier werden neue KI-Use-Cases entwickelt und getestet, bevor sie produktiv gehen — genau die Test- und Dokumentationsdisziplin, die der EU AI Act für Hochrisiko-Anwendungen verlangt und die sich in den KI-Reallaboren der Mitgliedstaaten (ab 2026) rechtssicher erproben lässt. Ich betreibe und unterstütze solche Sandbox-Umgebungen mit.
Die folgende Liste ist explizit — ich formuliere sie deutlich, weil Kunden sonst von anderen Anbietern entsprechende Vorschläge bekommen.
Vertragspartner ist für den EWR inzwischen OpenAI Ireland Ltd — die Konzernstruktur bleibt aber US-amerikanisch (CLOUD Act, FISA 702), und die Inferenz läuft auch im EU-Data-Residency-Tier standardmäßig auf US-Infrastruktur. Über Azure OpenAI Service (EU-Region) bekommt man dieselben Modelle mit EU-Verarbeitung und Microsoft-Ireland-Vertragsbeziehung.
In US-Regionen betrieben sind beide für personenbezogene Daten kaum sauber einsetzbar — und auch bei EU-Regionen bleibt die Drittland- und Konzernstruktur-Prüfung an Ihnen hängen. Qdrant Cloud (Frankreich/Deutschland) und Self-Hosted PostgreSQL+pgvector liefern dieselbe Funktionalität ohne diese Schicht an Komplikationen.
Zapier verarbeitet als US-Anbieter in US-Regionen — für Workflows mit personenbezogenen Daten ein Drittlandtransfer mit Prüf- und Dokumentationsaufwand. Auch bei europäischen Cloud-Automation-Diensten bleiben Sie auf AVV, Region-Konfiguration und die Audit-Tiefe des Anbieters angewiesen. n8n Self-Hosted in der EU bietet dieselbe (teils bessere) Flexibilität, volle Daten- und Audit-Kontrolle, und ist ab mittleren Volumina auch kommerziell günstiger.
Der Markt ist voll von "Add KI to your business"-Tools, die im Kern API-Anfragen an OpenAI weiterleiten. Wenn der Anbieter nicht klar dokumentiert, in welcher Region verarbeitet wird, und kein vertraglicher Trainingsausschluss vorliegt — Finger weg. Ihre Geschäftsdaten könnten sonst im nächsten Modell-Training landen.
Dieser Stack ist keine theoretische Empfehlung. Adoption-X betreibt sein eigenes operatives Geschäft — Outreach, CRM, Wissensmanagement, Dokumentenverarbeitung — auf genau dieser Architektur. Jeder Pilot, jeder Workshop, jede Implementierung läuft auf demselben Setup.
Das hat zwei Konsequenzen, die für Sie relevant sind: Erstens kenne ich die Fallstricke aus eigener Erfahrung, nicht aus Hochglanz-Whitepapern. Zweitens funktioniert die Architektur in der Praxis — sonst würde ich sie nicht selbst nutzen. Mehr dazu auf Über mich.
30 Minuten, kostenfrei, kein Vertriebsgespräch. Ich gehe mit Ihnen durch Ihre aktuelle KI- und Cloud-Landschaft, zeige aus Architektursicht, wo Drittlandtransfer- oder EU-AI-Act-Risiken stecken (keine Rechtsberatung) — und zeige Ihnen, wie ein Übergang auf einen EU-souveränen Stack pragmatisch aussehen kann.
